Krytyczna luka w WP Maps Pro umożliwiająca przejęcie konta administratora

Krytyczna luka w WP Maps Pro umożliwia nieautoryzowane tworzenie kont administratora i przejęcie witryny WordPress. Zalecane szybkie aktualizacje i audyt bezpieczeństwa.
CVE-2026-8732CVSS 9.8CMS

Krytyczna luka w WP Maps Pro umożliwiająca przejęcie konta administratora

Krytyczna luka w WP Maps Pro umożliwia nieautoryzowane tworzenie kont administratora i przejęcie witryny WordPress. Zalecane szybkie aktualizacje i audyt bezpieczeństwa.

CVSS
9.8 CRITICAL
EPSS
94.83%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka WP Maps Pro dla WordPressa do wersji 6.1.0 zawiera krytyczną lukę pozwalającą na eskalację uprawnień poprzez tworzenie konta administratora bez uwierzytelnienia. Luka wynika z niewłaściwej ochrony akcji AJAX, co umożliwia atakującemu pełne przejęcie witryny.

Wpływ biznesowy

Eksploatacja tej luki pozwala nieautoryzowanym osobom na utworzenie konta administratora i pełne przejęcie kontroli nad stroną WordPress. Może to skutkować utratą danych, defacementem strony, a także wykorzystaniem zasobów serwera do dalszych ataków lub rozprzestrzeniania złośliwego oprogramowania. Organizacje korzystające z WP Maps Pro powinny traktować tę lukę jako krytyczną i priorytetowo podejść do jej usunięcia.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki WP Maps Pro i ich wdrożenie. W przypadku braku łatki należy ograniczyć dostęp do funkcji AJAX wtyczki, przeanalizować logi pod kątem podejrzanych aktywności oraz rozważyć tymczasowe wyłączenie wtyczki. Dodatkowo warto przeprowadzić audyt kont użytkowników w WordPressie i usunąć nieautoryzowane konta administratorów.

Źródła